נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
אבטחת מידע
RSS UnderWarrior Forums : RSS אבטחת מידע
נושא

נושא: שאלה על המאמר שלכם על YaBB

(נושא נעול נושא נעול) 		שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
אלי12345
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 07 January 2007 בשעה 13:52 | IP רשוּם
 
כתבתם שהיות ואני יכול להכניס קוד HTML לדף, אז ניתן להשתמש ב-XSS.

אבל למעשה הדף שנוצר הוא דינמי ורק אני רואה אותו אין לי צורך לעשות XSS לעצמי איך אפשר לנצל ולחסום (אם ניתן להשתמש) פרצת אבטחה זו.

כי בכללי אם המשתמש מכנסי קוד HTML הוא יכול להזיק רק לעצמו הוא לא יכול להעביר את הדף עם הקוד הזה למשתמשים אחרים.

תודה, אלי.
חזרה לתחילת העמוד הצג את כרטיס החבר של אלי12345 חפש הודעות אחרות של אלי12345 בקר בדף הבית של אלי12345
 
no0ne
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 07 January 2007 בשעה 20:43 | IP רשוּם
 
אם זה XSS מסוג GET הוא יכול להזיק לאחרים מכיוון שכול אדם שנכנס לדף שבו הזריקו את הקוד אז הם יותקפו ..
תקנו אותי אם אני טועה .
חזרה לתחילת העמוד הצג את כרטיס החבר של no0ne חפש הודעות אחרות של no0ne בקר בדף הבית של no0ne
 
אורח
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 09 January 2007 בשעה 12:49 | IP רשוּם
 
הענין הוא שלפעמים אפשר לשלוח את מה שנשלח דרך ה-POST ב-GET, כי אין בדיקה בשרת...
חזרה לתחילת העמוד הצג את כרטיס החבר של אורח חפש הודעות אחרות של אורח בקר בדף הבית של אורח
 
ack
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 10 January 2007 בשעה 01:34 | IP רשוּם
 
העניין הוא פשוט
באמצעות המאפיין GET המידע שבטופס(לדוגמה) נשלח דרך שורת הכתבות
ולכן , לעיתים ניתן לתת קישור (עם הקוד הזדוני) ישיר.

ובאמצעות המאפיין POST  המידע נשלח "מאחורי הקלעים" ולכן לרוב
צריך "לקבע" את הקוד הזדוני.

תעשו את החישובים שלכם

א:
http://www.cs.tut.fi/~jkorpela/forms/methods.html

ב:
http://catcode.com/formguide/getpost.html
חזרה לתחילת העמוד הצג את כרטיס החבר של ack חפש הודעות אחרות של ack בקר בדף הבית של ack
 

מצטערים, אינך יכול/ה להגיב לנושא זה.
נושא זה נעול.

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה